Cisco IP 電話安全性

您可以啟用Cisco Unified Communications Manager以在增強的安全性環境中運作。透過這些增強功能，您的電話網路可在一組嚴格的安全性和風險管理控制下運作，以保護您和您的使用者。

增強的安全性環境包括以下功能：

聯絡人搜尋驗證。
TCP作為遠端稽核記錄的預設通訊協定。
FIPS 模式。
改進的憑證策略。
支援數位簽名的 SHA-2 系列雜湊。
支援 512 位元和 4096 位元的RSA鑰大小。

使用Cisco Unified Communications Manager 14.0 版和Cisco視訊電話韌體版本2.1 及更高版本的電話支援SIP OAuth 驗證。

Cisco Unified Communications Manager 14.0(1)SU1 版或更高版本的 Proxy Trivial File Transfer Protocol ( TFTP ) 支援 OAuth。Mobile Remote Access (MRA) 不支援 Proxy TFTP和 Proxy TFTP的 OAuth。

有關安全性的更多資訊，請參閱：

Cisco Unified Communications Manager系統組態指南，14.0(1) 或更高版本 (https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.html )。
Cisco Unified Communications Manager安全性指南 （https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html )

您的電話只能儲存有限數量的身分信任清單 (ITL) 檔案。電話上的 ITL 檔案不能超過 64K，因此請限制Cisco Unified Communications Manager傳送至電話的檔案數目。

支援的安全性功能

安全性功能可防止威脅，包括電話身分和資料受到的威脅。這些功能在電話與Cisco Unified Communications Manager 伺服器之間建立和維護經過驗證的通訊串流，並確保電話僅使用經過數位簽署的檔案。

Cisco Unified Communications Manager 8.5(1) 版及更高版本預設包括「安全性」，可為Cisco IP電話提供以下安全性功能，而無需執行CTL用戶端：

簽署電話組配置檔案
電話組態檔加密
使用 HTTPS 與 Tomcat 和其他 Web 服務

安全的訊號和媒體功能仍需要您執行CTL用戶端並使用硬體電子權杖。

在Cisco Unified Communications Manager 系統中實施安全性可防止電話和Cisco Unified Communications Manager 伺服器的身分被盜，防止資料被竄改，並防止通話訊號和媒體資料流竄改。

為了減輕這些威脅， Cisco IP 電話技術網路在電話與伺服器之間建立並維護安全（加密）通訊串流，在檔案傳送至電話之前對檔案進行數位簽署，以及加密Cisco IP電話之間的媒體串流和通話訊號。

執行與憑證授權單位代理功能 (CAPF ) 關聯的必要工作後，電話上會安裝本端重要憑證 ( LSC )。您可以使用Cisco Unified Communications Manager 管理來設定LSC，如《 Cisco Unified Communications Manager安全性指南》中所述。此外，您還可以從電話上的「安全性」設定功能表起始LSC的安裝。此功能表還允許您更新或移除LSC。

LSC不能用作EAP-TLS的使用者憑證與WLAN驗證。

電話使用電話安全設定檔，該設定檔定義裝置是不安全的還是安全的。有關將安全性設定檔套用至電話的資訊，請參閱您所在的特定Cisco Unified Communications Manager版本的文件。

如果您在Cisco Unified Communications Manager 管理中設定安全性相關設定，則電話組態檔包含敏感資訊。若要確保組態檔的私密性，您必須對其進行加密設定。有關詳細資訊，請參閱您所在的特定Cisco Unified Communications Manager版本的文件。

電話符合聯邦資訊處理標準 (FIPS)。若要正常運作，FIPS 模式需要 2048 位元或更大的金鑰大小。如果憑證小於 2048 位元，電話將不會向Cisco Unified Communications Manager註冊和電話註冊失敗。憑證金鑰大小不符合 FIPS 標準 會在電話上顯示。

如果電話具有LSC，則您需要在啟用 FIPS 之前將LSC金鑰大小更新為 2048 位元或更大。

下表提供了電話支援的安全性功能的概觀。如需相關資訊，請參閱您所在的特定Cisco Unified Communications Manager版本的文件。

若要檢視安全性模式，請按設定設定硬鍵並導覽至網路和服務 >安全性設定。

表 1. 安全性功能概觀
功能	說明
影像驗證	簽署的二進位檔案可防止韌體映像在電話上載入之前遭到篡改。篡改影像會導致電話無法進行驗證程序並拒絕新影像。
客戶網站憑證安裝	每Cisco IP 電話都需要唯一的憑證進行裝置驗證。電話包括製造安裝憑證 (MIC)，但對於額外的安全性，您可以在Cisco Unified Communications Manager 管理中使用憑證授權單位代理功能 (CAPF) 指定憑證安裝。此外，您還可以從電話上的「安全性組態」功能表安裝本地重要憑證 (LSC)。
裝置驗證	當每個實體接受另一個實體的憑證時，在Cisco Unified Communications Manager 伺服器與電話之間發生。決定電話與Cisco Unified Communications Manager之間是否應該發生安全連線；並在必要時使用TLS協定在實體之間建立安全訊號路徑。Cisco Unified Communications Manager不會註冊電話，除非它可以進行驗證。
檔案驗證	驗證電話下載的有數位簽署的檔案。電話會驗證簽章以確保在建立檔案後沒有發生檔案篡改。未通過驗證的檔案不會寫入電話上的 Flash 記憶體。電話會拒絕此類檔案，不做進一步處理。
檔案加密	加密可防止機密資訊在檔案傳送至電話的過程中被洩露。此外，電話會驗證簽章，以確保在建立檔案後沒有發生檔案篡改。未通過驗證的檔案不會寫入電話上的 Flash 記憶體。電話會拒絕此類檔案，不做進一步處理。
訊號驗證	使用TLS協定來驗證在傳輸期間未發生篡改訊號封包的情況。
製造安裝憑證	每Cisco IP 電話都包含一個唯一的製造安裝憑證 (MIC)，用於裝置驗證。MIC為電話提供永久且唯一的身份證明，並允許Cisco Unified Communications Manager對電話進行驗證。
媒體加密	使用SRTP來確保受支援裝置之間的媒體串流安全，並且只有預期的裝置才能接收和讀取資料。包括為裝置建立媒體主金鑰配對、將金鑰傳送至裝置，以及在金鑰在傳輸中時確保金鑰的安全。
CAPF （憑證授權單位代理功能）	實施對於電話來說處理過於密集的憑證產生程序，並與電話互動以產生金鑰和安裝憑證。CAPF可配置為代表電話從客戶指定的憑證授權單位請求憑證，或它可配置為在本地生成憑證。同時支援EC （橢圓曲線）和RSA密鑰類型。若要使用EC密鑰，請確保參數「端點進階加密算法支援」（來自系統 >企業參數) 已啟用。有關CAPF及相關設定的更多資訊，請參閱下列文件： Cisco Unified Communications Manager安全性指南 CUCM第三方 CA 簽署的 LSC 產生和匯入組態範例設定透過CAPF線上 CA 自動憑證註冊和續訂
安全性設定檔	決定電話是否不安全、已驗證、加密或受保護。此表格中的其他項目描述了安全性功能。
加密的組態檔	確保電話組態檔的私密性。
為電話停用可選的Web 伺服器	基於安全目的，您可以阻止存取電話（顯示電話的各種作業統計資料）和自助入口網站的網頁。
電話強化	您從Cisco Unified Communications Manager 管理控制的其他安全性選項：停用PC 連接埠停用免費 ARP (GARP) 停用PC語音VLAN存取停用對「設定」功能表的存取或提供受限存取停用電話對網頁的存取停用藍牙配件埠限制TLS加密
802.1X 驗證	Cisco IP 電話可以使用802.1X 驗證來請求並獲得對網路的存取權。請參閱802.1X 驗證獲取更多資訊。
SRST的安全SIP故障轉換	在您設定「SRST 」參考以實現安全性之後，在Cisco Unified Communications Manager 管理中重設從屬裝置後， TFTP伺服器會將SRST憑證新增至電話 cnf.xml 檔案，並將檔案傳送至電話。然後，安全電話會使用TLS連線與啟用SRST的路由器互動。
訊號加密	確保在裝置與Cisco Unified Communications Manager 伺服器之間傳送的所有SIP 信號訊息均已加密。
信任清單更新警報	當電話上的信任清單更新時， Cisco Unified Communications Manager會收到警報，以指示更新成功或失敗。如需相關資訊，請參閱下表。
AES 256 加密	連線至Cisco Unified Communications Manager 10.5(2) 版及更高版本時，電話支援AES 256 加密，適用於TLS和SIP ，用於訊號和媒體加密。這樣電話便能使用符合 SHA-2（安全雜湊演算法）標準且符合聯邦資訊處理標準 (FIPS) 的基於AES -256 的加密來起始和支援TLS 1.2 連線。加密包括：對於TLS連線： TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 對於 sRTP： AEAD_AES_256_GCM AEAD_AES_128_GCM 如需相關資訊，請參閱Cisco Unified Communications Manager文件。
橢圓曲線數位簽名算法 (ECDSA) 憑證	作為通用標準 (CC) 認證的一部分， Cisco Unified Communications Manager；在 11.0 版中新增了 ECDSA 憑證。這會影響所有執行CUCM 11.5 及更高版本的語音作業系統 (VOS) 產品。
Cisco UCM的多伺服器 (SAN) Tomcat 憑證	電話支援已設定多伺服器 (SAN) Tomcat 憑證的Cisco UCM 。正確的TFTP 伺服器位址可在電話註冊的電話 ITL 檔案中找到。有關該功能的更多資訊，請參閱：如何使用Cisco UCM多伺服器 (SAN) Tomcat 憑證 Cisco Unified Communications Manager安全性指南

下表包含信任清單更新警報訊息及含義。如需相關資訊，請參閱Cisco Unified Communications Manager文件。

表 2. 信任清單更新警報訊息
代碼和訊息	說明
1 - TL_成功	已收到新的CTL和/或 ITL
2 - CTL_初始的_成功	已收到新的CTL，沒有現有的 TL
3 - ITL_初始的_成功	收到新的 ITL，沒有現有的 TL
4 - TL_初始的_成功	收到新的CTL和 ITL，沒有現有 TL
5 - TL_失敗_舊_CTL	更新新CTL失敗，但具有先前 TL
6 - TL_失敗_無_TL	更新新 TL 失敗，且沒有舊 TL
7 - TL_失敗	一般故障
8 - TL_失敗_舊_ITL	更新至新 ITL 失敗，但具有先前 TL
9 - TL_失敗_舊_TL	更新至新 TL 失敗，但具有先前 TL

「安全性設定」功能表提供各種安全性設定的相關資訊。此功能表還提供對信任清單功能表的存取權，並顯示電話上是否安裝了CTL或 ITL 檔案。

下表說明「安全性設定」功能表中的選項。

表 3. 安全性設定功能表
選項	說明	若要變更
安全模式	顯示為電話設定的安全模式。	從Cisco Unified Communications Manager 管理中，選擇裝置 >電話。該設定會出現在「電話組態」視窗的「通訊協定特定資訊」部分。
LSC	顯示用於安全性功能的本地重要憑證是已安裝在電話上（已安裝）還是未安裝在電話上（未安裝）。	有關如何管理電話的LSC的資訊，請參閱您特定的Cisco Unified Communications Manager版本的文件。

設定本地重要憑證 (LSC)

此工作適用於設定使用驗證字串方法的LSC 。

開始之前

請確保完成相應的Cisco Unified Communications Manager和憑證授權單位代理功能 (CAPF) 安全性設定：

CTL或 ITL 檔案具有CAPF 憑證。
在Cisco Unified Communications 作業系統管理中，驗證是否已安裝CAPF 憑證。
CAPF正在執行且已設定。

有關這些設定的更多資訊，請參閱您的特定Cisco Unified Communications Manager版本的文件。

1	取得設定CAPF時設定的CAPF驗證碼。
2	在電話上，按設定。
3	如果系統提示，請輸入密碼以存取設定功能表。您可以從管理員處獲取密碼。
4	導覽至網路和服務 >安全性設定 > LSC 。您可以透過使用設定存取權 Cisco Unified Communications Manager 管理中的欄位。
5	輸入驗證字串並選取提交。電話會根據CAPF的設定方式，開始安裝、更新或移除LSC 。當該程序完成後，電話上會顯示已安裝或未安裝。 LSC安裝、更新或移除過程可能需要很長時間才能完成。當電話安裝程序成功時，`已安裝` 訊息顯示。如果電話顯示`未安裝`，則授權字串可能不正確，或者可能未啟用電話升級。若CAPF操作刪除了LSC，電話會顯示`未安裝` 以指出作業成功。CAPF 伺服器會記錄錯誤訊息。請參閱CAPF 伺服器文件以找到記錄並了解錯誤訊息的含義。

啟用 FIPS 模式

1	在Cisco Unified Communications Manager 管理中，選取裝置 >電話並找到電話。
2	導覽至產品特定設定區域。
3	設定FIPS 模式欄位為已啟用。
4	選取儲存。
5	選取套用設定。
6	重新啟動電話。

關閉免持通話、耳機及電話上的聽筒

您可以選擇為使用者永久關閉電話上的免持通話、耳機及聽筒。

1	在Cisco Unified Communications Manager 管理中，選取裝置 >電話並找到電話。
2	導覽至產品特定設定區域。
3	選取以下一個或多個勾選方塊以關閉電話的功能：停用免持通話停用免持通話和耳機停用聽筒預設情況下，這些勾選方塊都未勾選。
4	選取儲存。
5	選取套用設定。

802.1X 驗證

Cisco IP電話支援 802.1X 驗證。

Cisco IP電話和Cisco Catalyst 交換器傳統上使用Cisco Discovery Protocol(CDP) 來識別彼此並確定VLAN分配和接線電源需求等參數。CDP無法識別本地連接的工作站。Cisco IP電話提供 EAPOL 傳遞機制。此機制可讓連接至Cisco IP 電話的工作站將 EAPOL 訊息傳遞至 LAN 交換器上的 802.1X 驗證工具。傳遞機制可確保IP 電話在存取網路之前不會充當 LAN 交換器來驗證資料端點。

Cisco IP電話還提供了 Proxy EAPOL 登出機制。如果本地連接的PC與IP 電話中斷連線，則 LAN 交換器不會看到實體鏈結髮生故障，因為 LAN 交換器與IP 電話之間的鏈結會保留。為了避免影響網路的完整性， IP 電話會代表下游PC向交換器傳送 EAPOL 登出訊息，這會觸發 LAN 交換器清除下游PC的驗證項目。

支援802.1X 驗證需要多個元件：

Cisco IP 電話：電話會起始存取網路的請求。Cisco IP電話包含 802.1X 請求者。此要求允許網路管理員控制IP電話與 LAN 交換器連接埠的連接。目前版本的電話 802.1X 要求使用EAP-FAST和EAP-TLS選項進行網路驗證。
驗證伺服器：驗證伺服器和交換器必須同時使用驗證電話的共用密碼配置。
切換：交換器必須支援 802.1X，才能充當驗證工具並在電話與驗證伺服器之間傳遞訊息。交換完成後，交換器會授予或拒絕電話存取網路的權限。

您必須執行下列動作來設定 802.1X。

在電話上啟用 802.1X 驗證之前，請設定其他元件。
設定PC埠：802.1X 標準不考慮 VLAN，因此建議針對特定交換器連接埠只應驗證單一裝置。但是，有些交換器支援多網域驗證。交換器組態決定您是否可將PC連接到電話的PC 連接埠。
- 啟用：如果您使用的交換器支援多網域驗證，您可以啟用PC 連接埠並將PC連接到它。在此情況下， Cisco IP電話支援 Proxy EAPOL 登出，以監控交換器與連線的PC之間的驗證交換。
  
  如需Cisco Catalyst 交換器上 IEEE 802.1X 支援的相關資訊，請參閱Cisco Catalyst 交換器組態指南，網址為：
  
  http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
- 停用：若交換器在同一個連接埠上不支援多個 802.1X 相容裝置，您應該在啟用802.1X 驗證時停用PC連接埠。如果您不停用此連接埠然後嘗試將PC連接到它，交換器會拒絕對電話和PC進行網路存取。
設定語音VLAN：因為 802.1X 標準不考慮 VLAN，所以您應根據交換器的支援來配置此設定。
- 啟用：如果您使用的交換器支援多網域驗證，則可讓它繼續使用語音 VLAN。
- 停用：如果交換器不支援多網域驗證，請停用語音VLAN並考慮將連接埠指定給原生VLAN。
（僅適用於Cisco Desk Phone 9800 系列）
Cisco Desk Phone 9800 系列的 PID 字首與其他Cisco電話的字首不同。若要讓您的電話能夠通過802.1X 驗證，請設定半徑·使用者名稱參數以包括您的Cisco Desk Phone 9800 系列。
例如，電話 9841 的 PID 為 DP-9841；您可以設定半徑·使用者名稱至從 DP 開始 或包含 DP 。您可以在以下兩個部分中設定：
- 政策 >條件 >圖書館條件
- 政策 >策略集 >授權原則 >授權規則 1

啟用802.1X 驗證

您可以執行下列步驟為電話啟用802.1X 驗證：

1	按下設定。
2	如果系統提示，請輸入密碼以存取設定功能表。您可以從管理員處獲取密碼。
3	導覽至網路和服務 >安全性設定 > 802.1X 驗證。
4	開啟 IEEE 802.1X 驗證。
5	選取套用。

檢視有關電話上安全性設定的資訊

您可以在電話功能表中檢視有關安全性設定的資訊。資訊的可用性取決於您組織中的網路設定。

按下設定設定鍵。

導覽至網路和服務 >安全性設定。

在安全性設定，檢視以下資訊。

表 4. 安全性設定的參數
參數	說明
安全模式	顯示為電話設定的安全模式。
LSC	顯示用於安全性功能的本地重要憑證是已安裝在電話上（是）還是未安裝在電話上（否）。
信任清單	信任清單提供CTL、 ITL 和已簽署組態檔案的子功能表。「 CTL檔案」子功能表顯示CTL 檔案檔案的內容。「ITL 檔案」子功能表顯示 ITL 檔案的內容。「信任清單」功能表還會顯示以下資訊： CTL簽名：CTL 檔案的 SHA1 雜湊 Unified CM/ TFTP 伺服器：電話使用的Cisco Unified Communications Manager和TFTP 伺服器的名稱。若已安裝此伺服器的憑證，則顯示憑證圖示。 CAPF伺服器：電話使用的CAPF 伺服器的名稱。若已安裝此伺服器的憑證，則顯示憑證圖示。 SRST路由器：電話可使用的信任的SRST路由器的IP 位址。若已安裝此伺服器的憑證，則顯示憑證圖示。

電話安全性

當電話實現安全性時，您可以透過電話螢幕上的圖示識別安全電話呼叫。您還可以在通話開始時播放安全音調時判斷所連線的電話是否安全及受保護。

在安全通話中，所有通話訊號和媒體串流都會加密。安全通話可提供高級別的安全性，從而確保通話的完整性和私密性。當進行撥入被加密時，您可以看到安全圖示安全通話的鎖定圖示線上。對於安全電話，您還可以檢視已驗證的圖示或加密的圖示在電話功能表中（設定 >關於此裝置)。

若通話是透過非IP通話線路（例如 PSTN）路由，則該通話可能是不安全的，即使該通話已在IP網路中加密並且具有關聯的鎖定圖示。

在安全通話中，在通話開始時播放安全鈴聲，以表示另一部連線的電話也在接收和傳送安全音訊。如果您的呼叫連線至不安全的電話，則不會播放安全音。

僅在兩部電話之間連線時支援安全通話。設定了安全通話後，部分功能（例如會議通話和共用線路）不可用。

當電話在Cisco Unified Communications Manager中設定為安全（加密且受信任）時，可以獲得受保護狀態。此後，可根據需要將受保護的電話配置為在開始通話時播放指示音：

受保護的裝置：若要將安全電話的狀態變更為受保護，請勾選Cisco Unified Communications Manager 管理中的「電話組態」視窗中的受保護裝置勾選方塊（裝置 >電話)。
播放安全指示音：若要讓受保護的電話播放安全或非安全指示音，請將播放安全指示音設定為 True。預設情況下，播放安全指示音會設定為 False。您可以在Cisco Unified Communications Manager 管理（系統 >服務參數)。選取伺服器，然後選取 Unified Communications Manager 服務。在服務參數組態視窗中，選取功能 - 安全提示音區域中的選項。預設值為 False。

安全的電話會議識別

您可以開始安全的電話會議並監控參加者的安全性層級。使用以下過程建立安全的電話會議：

使用者從安全電話起始會議。
Cisco Unified Communications Manager會為通話指定安全會議橋接器器。
在新增參加者時， Cisco Unified Communications Manager會驗證每部電話的安全模式，並維護會議的安全層級。
電話會顯示電話會議的安全性層級。安全會議顯示安全圖示。

可在兩部電話之間進行安全通話。對於受保護的電話，有些功能（例如會議通話、共用線路和Extension Mobility）在設定了安全通話時無法使用。

下表根據發起方電話安全性層級、參加者的安全性層級以及安全會議橋接器的可用性，提供有關會議安全性層級變更的資訊。

表 5. 電話會議的安全性限制
發起方電話安全性層級	已使用的功能	參加者的安全性等級	動作結果
不安全	會議	安全性	不安全的會議橋接器不安全的會議
安全性	會議	至少有一個成員不安全。	安全的會議橋接器不安全的會議
安全性	會議	安全性	安全的會議橋接器安全的加密層級會議
不安全	與我開會	最低安全性層級已加密。	發起方收到訊息`不符合安全性層級，通話已拒絕`。
安全性	與我開會	最低安全性層級為不安全。	安全的會議橋接器「會議」接受所有通話。

安全的通話識別

當您的電話和另一端的電話已設定安全呼叫時，即會建立安全呼叫。另一部電話可以在同一個Cisco IP網路中，或在IP網路以外的網路上。只能在兩部電話之間進行安全通話。會議通話應支援"安裝;設定"安全會議橋接器器後的安全通話。

使用以下過程建立安全通話：

使用者從受保護的電話（受保護的安全模式）起始通話。
電話會顯示安全圖示於電話螢幕。此圖示指出已為安全通話設定了電話，但這並不意味著另一部連線的電話也受到保護。
如果通話連接至另一部受保護的電話，則使用者會聽到安全鈴聲，這表示對話的雙方都已加密且受保護。如果通話連接至不安全的電話，則使用者不會聽到安全鈴聲。

可在兩部電話之間進行安全通話。對於受保護的電話，有些功能（例如會議通話、共用線路和Extension Mobility）在設定了安全通話時無法使用。

僅受保護的電話會播放這些安全或非安全指示音。未受保護的電話從不播放鈴聲。如果在通話期間整體通話狀態發生變更，則指示音也會隨之變更，且受保護的電話播放相應的聲音。

在以下情況下，受保護的電話播放或不播放鈴聲：

當啟用「播放安全提示音」選項時：
- 當端對端安全媒體建立且通話狀態安全時，電話會播放安全指示音（三聲長嗶聲，中間有暫停）。
- 當建立了端對端非安全媒體且通話狀態為非安全時，電話會播放非安全指示音（六聲簡短的嘀嘀聲，並伴有短暫的暫停）。

若播放安全指示音選項被停用，則不會播放任何聲音。

為插話提供加密

Cisco Unified Communications Manager在建立會議時會檢查電話安全狀態，並變更會議的安全性指示或封鎖通話的完成，以維護系統的完整性和安全性。

如果用於插話的電話未設定加密，則使用者無法插話入經過加密的通話。如果在這種情況下插話失敗，則開始插話的電話上會播放重新排序（快速忙線音）音。

如果發起方電話已設定加密，則插話發起方可以從加密電話插入不安全通話。插話發生後， Cisco Unified Communications Manager會將通話分類為不安全。

如果發起方電話已設定加密，則插話發起方可以插入經過加密的通話，並且電話會指出該通話已加密。

WLAN安全性

因為範圍內的所有WLAN裝置都可以接收所有其他WLAN流量，所以在無線局域網中保護語音通訊至關重要。為了確保入侵者不會操控或攔截語音流量， Cisco SAFE 安全性架構支援電話。如需有關網路安全性的更多資訊，請參閱 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco無線IP 電話技術解決方案使用電話支援的下列驗證方法來提供無線網路安全性，可防止未經授權的登入和通訊遭破壞：

開放式驗證：任何無線裝置都可以在開放系統中請求驗證。接收到請求的 AP 可以將驗證授予任何請求者，或僅授予在使用者清單中找到的請求者。無線裝置與存取點 (AP) 之間的通訊可能未加密。
可擴展驗證通訊協定 - 透過安全通道 (EAP-FAST) 驗證進行靈活驗證：此用戶端-伺服器安全性架構會加密 AP 與 RADIUS 伺服器之間的傳輸層安全性 ( TLS ) 通道內的EAP交易，例如身分服務引擎 (ISE) 。

TLS通道使用受保護的存取認證 (PAC) 在用戶端（電話）與 RADIUS 伺服器之間進行驗證。伺服器將授權ID (AID) 傳送至用戶端（電話），然後選擇適當的 PAC。用戶端（電話）向 RADIUS 伺服器返回 PAC 不透明。伺服器會使用主金鑰解密 PAC。兩個端點現在都包含 PAC 金鑰，且建立TLS通道。EAP-FAST支援自動 PAC 佈建，但您必須在 RADIUS 伺服器上啟用它。

在 ISE 中，預設情況下，PAC 會在一周後過期。如果電話的 PAC 過期，則在電話獲取新的 PAC 時，使用 RADIUS 伺服器進行驗證需要更長的時間。若要避免 PAC 佈建延遲，請在 ISE 或 RADIUS 伺服器上將 PAC 到期期間設定為 90 天或更長。
可擴展驗證通訊協定 -傳輸層安全性性 (EAP-TLS) 驗證：EAP-TLS需要用戶用戶端憑證進行驗證和網路存取。對於無線EAP-TLS，用戶用戶端憑證可以是MIC、 LSC或使用者安裝的憑證。
受保護的可擴展驗證通訊協定 (PEAP) ：用戶端（電話）和 RADIUS 伺服器之間的Cisco專有的基於密碼的相互驗證方案。電話可以使用PEAP透過無線網路進行驗證。支援PEAP-MSCHAPV2 和PEAP-GTC 驗證方法。
預共用金鑰 (PSK) ：電話支援ASCII格式。設定WPA/WPA2/SAE 預共用金鑰時，您必須使用此格式：

ASCII ：長度為 8 到 63 個字元（0-9、小寫和大寫 AZ 以及特殊字元）的ASCII字串

範例：Greg123567@9ZX&W

下列驗證方案使用 RADIUS 伺服器來管理驗證金鑰：

WPA/WPA2/WPA3：使用 RADIUS 伺服器資訊來產生唯一金鑰以用於驗證。因為這些金鑰是在集中式 RADIUS 伺服器上產生，所以 WPA2/WPA3 可提供比儲存在 AP 和電話上的WPA預共用金鑰更高的安全性。
快速安全漫遊：使用 RADIUS 伺服器和無線網域伺服器 (WDS) 資訊來管理和驗證金鑰。WDS 會為啟用 FT 的用戶端裝置建立安全憑證緩存，以實現快速、安全的重新驗證。Cisco桌面電話 9861 和 9871 與Cisco視訊電話 8875 支援 802.11r (FT)。支援透過空氣和透過 DS ，以實現快速安全漫遊。但我們強烈建議使用 802.11 r (FT) 的無線方式。

使用WPA/WPA2/WPA3，不會在電話上輸入加密金鑰，而是在 AP 與電話之間自動派生加密金鑰。但是必須在每部電話上輸入用於驗證的EAP使用者名稱和密碼。

為了確保語音流量安全，電話支援 TKIP 和AES進行加密。當這些機制用於加密時，訊號SIP封包和語音即時傳輸協議 (RTP) 封包都會在 AP 與電話之間加密。

TKIP: WPA使用的 TKIP 加密，與WEP相比有幾處改進。TKIP 提供了每個封包的金鑰加密以及更長的初始化向量 (IV) 來加強加密。此外，訊息完整性檢查 (MIC) 可確保加密的封包不被變更。TKIP 移除了WEP的可預測性，該可協助入侵者解密WEP 金鑰。
AES: 用於 WPA2/WPA3 驗證的加密方法。這個國家加密標準使用對稱算法，該算法具有相同的加密和解密金鑰。AES使用 128 位元大小的密碼區塊鏈 (CBC) 加密，它至少支援 128 位元、192 位元和 256 位元的金鑰大小。電話支援的金鑰大小為 256 位元。

Cisco桌面電話 9861 和 9871 與Cisco視訊電話 8875 不支援使用 CMIC 的Cisco密鑰完整性通訊協定 (CKIP)。

驗證和加密方案在無線 LAN中"安裝;設定"。VLAN 會在網路中和 AP 上配置，並指定驗證和加密的不同組合。SSID與VLAN及特定的驗證和加密方案相關聯。要成功驗證的無線用戶端裝置，您必須在 AP 和電話上為驗證和加密方案設定相同的 SSID。

某些驗證方案需要特定類型的加密。

當您使用WPA預共用金鑰、WPA2 預共用金鑰或 SAE 時，必須在電話上靜態設定預共用金鑰。這些金鑰必須與 AP 上的金鑰相符。
電話支援 FAST 或PEAP的自動EAP協商，但不支援TLS的自動 EAP 協商。對於EAP-TLS模式，您必須指定它。

下表中的驗證和加密方案顯示了與 AP 組態相對應的電話的網路組態選項。

表 6. 驗證和加密方案
FSR 類型	驗證	金鑰管理	加密	受保護的管理機架 (PMF)
802.11r（FT）	PSK	WPA-PSK WPA-PSK-SHA256 FT-PSK	AES	否
802.11r（FT）	WPA3	SAE FT-SAE	AES	是
802.11r（FT）	EAP-TLS	WPA-EAP FT- EAP	AES	否
802.11r（FT）	EAP-TLS (WPA3)	WPA- EAP-SHA256 FT- EAP	AES	是
802.11r（FT）	EAP-FAST	WPA-EAP FT- EAP	AES	否
802.11r（FT）	EAP-FAST (WPA3)	WPA- EAP-SHA256 FT- EAP	AES	是
802.11r（FT）	EAP-PEAP	WPA-EAP FT- EAP	AES	否
802.11r（FT）	EAP- PEAP (WPA3)	WPA- EAP-SHA256 FT- EAP	AES	是

設定無線 LAN 設定檔

您可以透過設定憑證、頻段、驗證方法等來管理您的無線網路設定檔。

在設定WLAN設定檔之前，請記住以下說明：

使用者名稱和密碼
- 當您的網路使用EAP-FAST和PEAP進行使用者驗證時，您必須在遠端驗證撥入使用者服務 (RADIUS) 和電話上同時設定使用者名稱和密碼。
- 您在無線 LAN設定檔中輸入的憑證必須與您在 RADIUS 伺服器上設定的憑證相同。
- 如果您在網路中使用網域，您必須採用以下格式輸入帶有網域名稱的使用者名稱：網域\使用者名稱。
以下動作可能會導致現有的Wi-Fi密碼被清除：
- 輸入無效的使用者 ID 或密碼
- 當EAP類型設定為PEAP-MSCHAPV2 或PEAP-GTC 時，安裝無效或過期的根 CA
- 在將電話切換至新的EAPEAP
若要變更EAP類型，請確保先在 RADIUS 伺服器上啟用新的EAP類型，然後將電話切換至EAP類型。當所有電話已變更為新的EAP類型後，您可以視需要停用先前的EAP類型。

1	在Cisco Unified Communications Manager 管理中，選取裝置 >裝置設定 >無線 LAN 設定檔。
2	選擇您要設定的網路設定檔。
3	設定參數。
4	按一下儲存。

配置 SCEP 參數

簡單憑證註冊通訊協定 (SCEP) 是自動佈建及更新憑證的標準。SCEP 伺服器可以自動維護您的使用者和伺服器憑證。

您必須在您的電話網頁設定下列 SCEP 參數

RA IP 位址
SCEP 伺服器的根CA 憑證的 SHA-1 或 SHA-256 指紋

Cisco IOS註冊授權機構 (RA) 用作 SCEP 伺服器的代理。電話上的 SCEP 用戶端使用從Cisco Unified Communications Manager 下載的參數。在您配置參數後，電話會傳送SCEP 獲取 向 RA 發出請求，且使用定義的指紋驗證根CA 憑證。

開始之前

在 SCEP 伺服器上，將 SCEP 註冊代理 (RA) 設定為：

充當 PKI 信任點
充當 PKI RA
使用 RADIUS 伺服器執行裝置驗證

如需相關資訊，請參閱 SCEP 伺服器文件。

1	從Cisco Unified Communications Manager 管理中，選取裝置 >電話。
2	找到電話。
3	捲動至產品特定的組態組態區域。
4	檢查 WLANSCEP 伺服器勾選方塊以啟動 SCEP 參數。
5	檢查WLAN根 CA 指紋（SHA256 或 SHA1）勾選方塊以啟動 SCEP QED 參數。

設定受支援的TLS版本

您可以"安裝;設定"用戶端和伺服器分別所需的最低TLS版本。

依預設，伺服器和用戶端的最低TLS版本都是 1.2。此設定對以下功能有影響：

HTTPS網頁存取連線
內部部署
Mobile and Remote Access (MRA) 的上線
HTTPS 服務，例如目錄服務
資料包傳輸層安全性性 (DTLS)
連接埠存取實體 (PAE)
可擴展驗證通訊協定 -傳輸層安全性性 (EAP-TLS)

如需Cisco IP電話的TLS 1.3 相容性的相關資訊，請參閱Cisco協作產品的TLS 1.3相容性矩陣。

1	以管理員身份登入「 Cisco Unified Communications Manager 管理」。
2	導覽至下列其中一個視窗：系統 >企業電話組態裝置 >裝置設定 >通用電話設定檔裝置 >電話 >電話組態
3	設定TLS用戶端最低版本欄位：「TLS 1.3」選項在Cisco Unified CM 15SU2 或更高版本上可用。 TLS 1.1 ：TLS用戶端支援 1.1 至 1.3 的TLS版本。如果伺服器中的TLS版本低於 1.1（例如 1.0），則無法建立連線。 TLS 1.2 (預設值)：TLS端支援TLS 1.2 和 1.3。如果伺服器中的TLS版本低於 1.2（例如 1.1 或 1.0），則無法建立連線。 TLS 1.3 ：TLS端僅支援TLS 1.3。如果伺服器中的TLS版本低於 1.3（例如 1.2、1.1 或 1.0），則無法建立連線。
4	設定TLS伺服器最低版本欄位： TLS 1.1 ：TLS伺服器支援 1.1 至 1.3 的TLS版本。如果用戶端中的TLS版本低於 1.1（例如 1.0），則無法建立連線。 TLS 1.2 (預設值)：TLS伺服器支援TLS 1.2 和 1.3。如果用戶端中的TLS版本低於 1.2（例如 1.1 或 1.0），則無法建立連線。 TLS 1.3 ：TLS伺服器僅支援TLS 1.3。如果用戶端中的TLS版本低於 1.3（例如 1.2、1.1 或 1.0），則無法建立連線。從 PhoneOS 3.2 版開始，「停用TLS 1.0 和TLS 1.1 以進行網路存取」欄位的設定在電話上不會生效。
5	按一下儲存。
6	按一下套用設定。
7	重新啟動電話。

確保服務SIP

確保服務SIP(AS- SIP) 是為Cisco IP電話和第三方電話提供高度安全性通話流程的功能和協議的集合。下列功能統稱為 AS- SIP：

多級優先和先佔 (MLPP)
區分服務代碼點 (DSCP)
傳輸層安全性性 (TLS) 和安全即時傳輸協議 (SRTP)
網際網路通訊協定版本 6 (IPv6)

SIP通常與多級優先與先佔 (MLPP) 搭配使用，以在緊急情況下確定通話的優先順序。使用MLPP，您可以為撥出的通話指定優先級別，從第 1 級（低）到第 5 級（高）。接到來電時，電話上會顯示一個優先層級圖示，以說明通話優先順序。

若要設定 AS- SIP，請在Cisco Unified Communications Manager上完成下列任務：

設定摘要使用者 — 設定一般使用者以對SIP請求使用摘要式驗證。
設定SIP電話安全連接埠 — Cisco Unified Communications Manager使用此連接埠來接聽SIP電話，以透過TLS進行SIP線路註冊。
重新啟動服務 — 配置安全連接埠後，重新啟動Cisco Unified Communications Manager和Cisco CTL提供者服務。設定 AS- SIP的SIP設定SIP 設定檔- 使用您的 AS- SIP端點和SIP主幹的SIP設定來設定 SIP 設定檔。電話特定參數不會下載至第三方 AS- SIP 電話。它們僅供Cisco Unified Manager 使用。第三方電話必須在本地設定相同的設定。
配置 AS- SIP的電話安全性設定檔 — 您可以使用電話安全設定檔來指派安全性設定，例如TLS、 SRTP和摘要式驗證。
設定 AS- SIP端點 — 設定Cisco IP 電話或第三方端點與 AS- SIP支援。
將裝置與最終使用者關聯 — 將端點與使用者關聯。
設定 AS- SIP的 SIPSIP 中繼線安全性設定檔連線安全性設定檔 — 您可以使用 SIP 主干連線安全性設定檔將安全性功能（例如TLS或摘要式驗證）指派給SIP trunk。
設定 AS- SIP的SIP SIP trunk — 設定具有 AS- SIP支援的 SIP trunk。
設定 AS- SIP功能 — 設定其他 AS- SIP功能，例如MLPP、 TLS、 V.150 和IPv6。

有關設定 AS- SIP的詳細資訊，請SIPCisco Unified Communications Manager功能設定指南。

多級優先和先佔

多級優先和先佔 (MLPP) 可讓您在緊急情況或其他危機情況下對通話進行優先排序。您可以為去電指定優先順序，該優先順序為 1 到 5 的範圍。來電會顯示一個圖示和通話優先順序。經過驗證的使用者可以先佔通話，無論是針對目標工作站還是透過完全訂閱的 TDM 幹線。

此功能可確保高級人員與關鍵組織和人員進行通訊。

MLPP通常與確保服務SIP(AS- SIP) 搭配使用。有關設定MLPP的詳細資訊，請參閱章節配置多級優先和先佔 於Cisco Unified Communications Manager功能設定指南。

設定FAC和CMC

當在電話上設定了強制授權代碼 (FAC) 或用戶端代碼 (CMC) 或兩者時，使用者必須輸入必要的密碼才能撥出號碼。

如需如何在Cisco Unified Communications Manager中"安裝;設定"FAC和CMC的相關資訊，請參閱用戶端代碼和強制授權代碼」中的章節Cisco Unified Communications Manager 12.5(1) 版或更高版本的功能設定指南。

感謝您的意見回饋。